Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Cookies, données de santé, droit d’accès, notification de violations de données – les apports du projet d’omnibus « digital »
Article IT et données personnelles | 07/11/25 | 11 min. | Florence Chafiol Alexandra Antalis
Le projet de législation de simplification des législations numériques (projet d’omnibus « digital ») qui sera présenté le 19 novembre prochain par la Commission européenne marque notamment une évolution majeure du cadre européen en matière de protection des données à caractère personnel. Le texte est encore susceptible d’être modifié avant sa transmission au Parlement européen et au Conseil de l’Union européenne.
Quels sont les points clés du projet ?
- Modification de la définition de « données à caractère personnel » pour y inclure la notion de données anonymisées intégrant ainsi les enseignements tirés de l’arrêt récent de la CJUE du 4 septembre 2025 (affaire C‑413/23 P).
Ainsi des informations qui ne permettent pas à une entité d’identifier un individu avec des moyens raisonnables ne deviendraient pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent. Le terme « moyens raisonnables » reste, quant à lui, non défini.
- Limitation de la notion de « données concernant la santé » aux « données qui révèlent directement des informations sur un état de santé ».
Alors que la définition de données de santé prévue par le RGPD et interprétée par la CNIL est très large, la nouvelle définition exclurait les données à partir desquelles il est possible de déduire une information comme par exemple les données de mesure.
Dans sa fiche intitulée « Qu’est-ce qu’une donnée de santé ? », la CNIL prend comme exemple le poids excessif qui peut révéler une obésité. Ainsi avec le projet d’omnibus « digital », le poids à lui seul ne constituerait pas une donnée de santé alors même qu’il serait susceptible de révéler un état de santé. C’est l’état de santé lui-même qui serait considéré comme une donnée de santé.
- Limitation de l’interdiction du traitement de données sensibles (opinions politiques, origine ethnique, orientation sexuelle, données biométriques, etc.) aux données qui « révèlent directement » ces informations.
- Introduction de deux nouvelles exceptions au principe d’interdiction du traitement de données sensibles :
- Intelligence artificielle : « Traitement effectué dans le cadre du développement et de l’exploitation d’un système d’IA tel que défini à l’article 3, point (1), du règlement (UE) 2024/1689 ou d’un modèle d’IA » : des mesures organisationnelles et techniques appropriées doivent être mises en œuvre afin d’éviter, dans toute la mesure possible, la collecte et, plus généralement, le traitement de données sensibles. Si malgré ces mesures, le responsable du traitement identifie des données sensibles dans les ensembles de données utilisés pour l’entraînement, les tests ou la validation, ou dans le système ou le modèle d’IA, il doit supprimer ces données. Néanmoins si une telle suppression exige des efforts disproportionnés, il peut traiter de telles données en se basant sur l’exception susmentionnée.
- Contrôle de l’identité d’une personne : « Le traitement de données biométriques est nécessaire aux fins de confirmer l’identité d’une personne concernée (vérification), lorsque les données biométriques ou les moyens nécessaires à la vérification sont sous le contrôle exclusif de la personne concernée » :
Il s’agit de la première exception posée à l’article 9 du RGPD spécifiquement dédiée aux données biométriques, ouvrant ainsi la voie à un élargissement significatif des possibilités de traitement de ces données.
- Introduction d’une nouvelle limitation aux demandes de droit.
Alors que la seule limite prévue par l’article 12, paragraphe 5 du RGPD aux demandes d’exercice de droit est les demandes infondées et excessives, le projet de législation introduit la possibilité de refuser de faire droit à une demande lorsqu’elle est effectuée à des fins autres que la protection des données du demandeur. Une telle restriction pourrait éventuellement permettre à un employeur de refuser de faire droit à une demande de droit d’accès lorsque l’ancien salarié souhaite obtenir des documents dans le cadre d’un contentieux afin de se constituer des preuves.
- Introduction d’une nouvelle exception à l’obligation d’information posée à l’article 13 du RGPD lorsque les données sont collectées dans une relation claire et circonscrite par un responsable du traitement dont le cœur d’activité n’est pas le traitement de données et qu’il existe des motifs raisonnables de supposer que la personne concernée dispose déjà des informations sur l’identité du responsable du traitement et des finalités.
Ainsi, un responsable du traitement qui a une activité exclusivement BtoB et qui traite les données de ses cocontractants dans le cadre de la gestion de la relation contractuelle pourrait éventuellement se baser sur une telle exception.
- Évolution de la logique de l’article 22 du RGPD (décision individuelle automatisée) : passage d’un principe d’interdiction assorti de dérogations à un principe d’autorisation encadré par des conditions : une décision produisant des effets juridiques ou similaires peut être fondée exclusivement sur un traitement automatisé, mais uniquement si l’une des trois conditions est remplie (contrat, loi, consentement explicite).
- Assouplissement des conditions de notification d’une violation de données à l’autorité compétente :
- Notion de « risque élevé » pour la notification auprès de l’autorité de protection des données : alors qu’une violation de données doit être notifiée auprès de l’autorité de protection des données dès lors qu’elle présente un risque pour les droits et libertés des personnes, désormais seules les violations susceptibles d’entraîner un risque élevé devraient être notifiées. Cela a pour conséquence de réduire les cas dans lesquels une violation doit être notifiée.
- Extension du délai pour notifier : le délai pour notifier passerait de 72h à 96h après en avoir pris connaissance.
Par ailleurs, une fois que le guichet unique sera mis en place conformément à l’article 23a de la directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS 2), la notification des violations de données devra se faire auprès de ce guichet unique et non plus auprès de l’autorité de protection des données.
Un modèle de notification commun à l’échelle de l’Union européenne serait mis en place et serait révisé tous les trois ans (et mises à jour si nécessaire).
- Analyses d’impact relatives à la protection des données (AIPD) : liste commune au niveau de l’Union européenne des types d’opérations de traitement qui sont soumises à l’obligation de réaliser une AIPD et celles pour lesquelles une AIPD n’est pas requise et mise en place d’un modèle d’AIPD commun au niveau de l’Union européenne avec des révisions tous les trois ans (et mises à jour si nécessaire).
- Mise en place de bacs à sable réglementaires, c’est-à-dire un cadre contrôlé établi par l’autorité de protection des données, offrant aux responsables du traitement et/ou aux sous-traitants, ainsi qu’aux futurs responsables du traitement et/ou sous-traitants, la possibilité de tester la conformité de techniques ou de solutions technologiques spécifiques destinées aux activités de traitement des données avec les obligations prévues par le RGPD.
- Introduction de règles distinctes pour les cookies qui impliquent un traitement de données à caractère personnel et ceux qui n’impliquent pas un tel traitement.
Pour les cookies qui impliquent un traitement de données à caractère personnel : autorisation du dépôt de cookies sans recueil du consentement et, a priori, sans déterminer de base légale pour les finalités suivantes :
- Effectuer la transmission d’une communication électronique sur un réseau de communications électroniques ;
- Fournir un service explicitement demandé par la personne concernée ;
- Créer des informations agrégées sur l’utilisation d’un service en ligne afin de mesurer l’audience de ce service ;
- Maintenir ou restaurer la sécurité d’un service demandé par la personne concernée ou de l’équipement terminal utilisé pour la fourniture de ce service.
Les autres points à retenir :
- Les modalités de recueil du consentement commencent à être précisées (aujourd’hui cela repose uniquement sur les délibérations prises par la CNIL) : la personne concernée doit pouvoir donner son consentement au moyen d’un bouton « un clic » ou d’un moyen équivalent.
- Le consentement doit être demandé tous les 6 mois (position identique à celle de la CNIL). Une nouvelle demande de consentement ne peut pas être présentée pour la même finalité pendant cette période.
- L’intérêt légitime peut être une base légale adéquate pour la prospection directe. Cela suggère que, dans certains cas (notamment en BtoB), l’intérêt légitime pourrait constituer une base légale pour le dépôt de cookies à des fins publicitaires.
Pour les cookies qui n’impliquent pas un traitement de données à caractère personnel : le dépôt sans recueil de consentement est possible pour les finalités suivantes : effectuer la transmission d’une communication sur un réseau de communications électroniques, afin que le service de la société de l’information explicitement demandé par l’utilisateur puisse être fourni. En dehors de ces finalités, le consentement des utilisateurs doit être recueilli.
- L’intérêt légitime peut être une base légale adéquate pour les traitements de données réalisés dans le cadre du développement et de l’exploitation d’un système d’IA à moins que ces intérêts soient supplantés par les intérêts ou les droits et libertés fondamentaux des personnes concernées (en particulier pour les enfants).